[Academia_psicologia] Fwd: [Academia] RV: [Admin-UNAM] Ransomware Petya

Mar Jun 27 16:39:08 CDT 2017

---------- Mensaje reenviado ----------
De: Hernández Sanjuan Juan Carlos <jchernan en unam.mx>
Fecha: 27 de junio de 2017, 14:13
Asunto: [Academia] RV: [Admin-UNAM] Ransomware Petya
Para: "academia en tlali.iztacala.unam.mx" <academia en tlali.iztacala.unam.mx>, "
academicos en tlali.iztacala.unam.mx" <academicos en tlali.iztacala.unam.mx>

Buen día

El día de hoy llegó un aviso del UNAM-CERT, advirtiendo de una nueva
amenaza cibernética, lo reproducimos a continuación para su conocimiento.
Les recomendamos:
No abrir archivos adjuntos de los que dude
Actualizar su equipo
Realizar respaldos de información

Saludos

Juan Carlos Hernández Sanjuan
UNAM, FES Iztacala
Unidad de Sistemas, Telecomunicaciones y Cómputo
Administración de Servidores y Sistemas
Tel. 5623 1201
________________________________________
De: admin-unam-bounces en listas.seguridad.unam.mx [admin-unam-bounces en listas.
seguridad.unam.mx] en nombre de Demian Garcia [demian.garcia en cert.unam.mx]
Enviado: martes, 27 de junio de 2017 13:17
Para: admin-unam en listas.seguridad.unam.mx
Asunto: [Admin-UNAM] Ransomware Petya

Estimados responsables de TI en RedUNAM,

El día de hoy por la mañana se identificó un aumento en el número de
infecciones por el ransomware Petya en varios países europeos, siendo
Ucrania de los más afectados.

Se ha identificado que este malware llega por correo electrónico en un
documento de Office malicioso. El análisis hasta el momento de esta amenaza
indica que cifra el archivo master file table (MFT) haciendo ilegible el
sistema de archivos e inhabilitando el sistema operativo al sobrescribir la
master boot record (MBR) lo que impide al usuario utilizar el equipo.

Una vez que los archivos están cifrados se muestra la siguiente pantalla:

[Petya                Ransom_0.jpg]

Además de cifrar los archivos, este ransomware se propaga por la red de la
misma forma que wannacry, utilizando el exploit Eternalblue para SMBv1. Sin
embargo, es probable que también se propague haciendo uso de WMIC y PSEXEC
por lo que un equipo con los parches de seguridad podría ser infectado.

Seguimos pendientes del análisis de este malware y realizando algunas
pruebas para identificar con total certeza la forma de propagación por la
red. Mientras tanto solicitamos su apoyo para estar atentos a lo que pasa
en sus redes.

Les recomendamos:

- Actualizar a la brevedad los equipo aún vulnerables.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445
TCP en las redes.
- Desconectar de la red los equipos infectados.
- Realizar respaldo de la información.
- No realizar los pagos exigidos por el atacante.

Ligas de interes:

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-
what-you-need-know

https://www.bleepingcomputer.com/news/security/wannacry-d-
j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Seguimos en comunicación.

--
Ing. Demian García

Departamento de Respuesta a Incidentes
Computer Emergency Response Team (UNAM-CERT)
DGTIC, UNAM
Circuito Exterior, C. U.    Tel.: 56-22-81-69
Del. Coyoacán               http://www.seguridad.unam.mx
04510 México Cd.MX.         http://www.unam-cert.unam.mx

_______________________________________________
Academia mailing list
Academia en tlali.iztacala.unam.mx
http://tlali.iztacala.unam.mx/cgi-bin/mailman/listinfo/academia
Politicas de uso: http://tlali.iztacala.unam.mx/politicas/

-- 
Dra. Alba Luz Robles Mendoza
Licenciada en Psicología
Doctora de Ciencias Penales y Política Criminal
Teléfono: 5526539068
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://tlali.iztacala.unam.mx/pipermail/academia_psicologia/attachments/20170627/aadf01ec/attachment.htm>